Cette vulnérabilité dans Netwrix Auditor permet de prendre le contrôle de l’Active Directory
Le logiciel Netwrix Auditor contient une faille de sécurité particulièrement dangereuse, car elle permet à un attaquant de compromettre l'annuaire Active Directory. La bonne nouvelle, c'est que l'éditeur Netwrix a déjà corrigé cette vulnérabilité.
L'éditeur Netwrix propose des logiciels à destination des entreprises, notamment pour surveiller l'activité de différents environnements comme un annuaire Active Directory ou un serveur de fichiers. Dans son catalogue de logiciels, il y a Netwrix Auditor, l'un des logiciels phares de Netwrix utilisé à ce jour par plus de 11 500 organisations dans 100 pays. De très grandes entreprises utilisent les solutions Netwrix.
Découverte par l'équipe de Bishop Fox, notamment Jordan Parkin, à l'occasion d'un scan TCP effectué avec NMAP sur un serveur Netwrix Auditor, ce bug de sécurité est considéré comme étant critique. L'équipe de Bishop Fox précise : "L'application Netwrix Auditor est affectée par un problème de désérialisation d'objet non sécurisé qui permet à un attaquant d'exécuter du code arbitraire avec les privilèges du service affecté. Ce problème est causé par un port remoting .NET non sécurisé accessible sur le port TCP 9004.". Ce qui explique cette découverte à l'occasion d'un scan NMAP.
Ils précisent également que : "Dans un scénario classique du monde réel, les services de Netwrix Auditor s'exécuteraient avec un compte avec des privilèges élevés, ce qui pourrait conduire à une compromission complète de l'environnement Active Directory." - Le rapport mis en ligne Bishop Fox donne des détails techniques supplémentaires sur l'exploitation et le fonctionnement de cette faille de sécurité.
La vulnérabilité affecte toutes les versions sous support de Netwrix Auditor avant la version 10.5. En effet, disponible depuis le 6 juin 2022, Netwrix Auditor 10.5 est la version du logiciel qui corrige cette faille de sécurité même si ce n'est pas du tout mis en avant dans le "changelog" de cette nouvelle version.
Voici les informations que j'ai reçu de la part de Netwrix au sujet de cette vulnérabilité : « Dès la réception du rapport de vulnérabilité de Jordan Parkin de Bishop Fox, l'équipe de développement de Netwrix a travaillé avec diligence pour y remédier. Le 6 juin 2022, Netwrix a annoncé la mise à disposition de Netwrix Auditor 10.5, qui comprenait un correctif pour cette vulnérabilité, et a diffusé un avis de sécurité à ses clients les informant du risque et de la nécessité d'effectuer une mise à niveau. Netwrix remercie Jordan Parkin pour sa collaboration et la divulgation coordonnée de cette vulnérabilité. Les clients qui ont besoin d'aide pour déployer Netwrix Auditor 10.5 peuvent contacter le service client via le portail web client ou par téléphone au 09 75 18 11 19. »
Si vous utilisez Netwrix Auditor, vous devez installer la mise à jour sans attendre afin de vous protéger contre cette faille de sécurité.
